专利名称:通信系统中的流量限制的制作方法
技术领域:
本发明涉及在通信系统中限制流量。特别地,但是不仅限于,本发明涉及在通信系统中限制无用的流量,例如与病毒和其他恶意软件相关的流量。
背景技术:
通信系统可以被看作是使得能够在两个或更多实体——例如用户设备和/或与该系统相关联的其他节点——之间通信的设施。所述通信可以包含,例如,语音、数据、多媒体等等的通信。所述通信系统可以是电路交换的或分组交换的。所述通信系统可以被配置用于提供无线通信。
能够支持通信设备移动穿过大面积地理区域的通信系统通常被称为移动通信系统。在蜂窝通信系统中,通信设备通常更换其用以通信的蜂窝。蜂窝系统的某些示例是全球移动通信系统(GSM)和通用分组无线服务(GPRS)。GPRS提供分组交换的数据服务而且使用GSM系统的基础设施。蜂窝系统的两个另外的示例是对GSM和GPRS进行进—步增强的EDGE和EGPRS。EDGE是指用于GSM演进的增强型数据速率,而EGPRS是指EDGE GPRS。
为了说明蜂窝通信系统中的分组交换业务,以下使用GPRS系统作为示例。然而,应理解,在支持分组交换服务的其他蜂窝系统中也能找到类似概念。
作为支持分组交换服务的蜂窝系统的示例,图1从原理上示出了GSM/GPRS通信系统10。或者,系统10可以是EDGE/GPRS网络。在图1中仅仅示出了GSM/GPRS网络中的某些网络单元。无线接入网20包含多个基站系统(BSS)。每个基站系统包含基站控制器(BSC)22和多个基站(BS)21。移动站(MS)11通过无线接口与基站21通信。GSM/GPRS系统的分组交换核心网包含多个GPRS支持节点(GSN)31。为分组交换服务注册的每个移动台都具有服务GSN,称为SGSN,SGSN负责控制到达和来自所述移动台的分组交换连接。分组交换核心网通常通过网管GSN(GGSN)32连接到其他分组交换网。如图1所示,其他分组交换网40通常包含边缘路由器(ER)41。
在连接到公共数据网的个人电脑(PC)中,病毒是常见问题。病毒对于电脑的影响可以多种多样电脑可能完全瘫痪,用户可能发现某些异常或用户可能不知道病毒感染电脑。无论如何,病毒通常的目标是通过电脑所连接的网络进一步传播。某些病毒可能主动扫描连接到网络上的网络节点。也可能是被病毒影响的节点通过向网络或服务器洪泛,造成到其他节点的连接被拒绝或切断。
下文中,使用病毒作为恶意软件的示例。术语恶意软件(malware)是恶意软件(malicious software)的简称,而且它是指,例如,多种病毒、蠕虫和间谍软件。应理解,虽然在本文中详细讨论了与恶意软件相关的流量,但是由于非恶意软件感染的其他原因也可以使网络单元故障并造成到达通信系统的无用流量。
由于有可能通过为电脑配备适当的设备(通常称为卡式电话(cardphone))例如在GPRS网络中使用个人电脑,病毒造成的流量也会影响蜂窝网络。而且,病毒可能也传播到个人电脑之外的其他用户设备,例如个人数字助理(PDA)或现代便携电话。
尤其在无线接入网中(在无线环境中),通信资源有限。病毒或其他恶意软件或故障设备产生的无用流量可能对正常流量造成多种麻烦,例如分组时延或丢失。尤其在两个末端都可以经由无线网络可达的情况下,连接对分组时延和丢失很敏感。由于分组时延和/或丢失,传输协议遭遇保持持续连接的挑战。
从网络节点去除病毒并且清除病毒感染的数据分组将非常有益。某些已知的方法是静态清理网络节点、分组过滤和防火墙。静态清理指的是安装/运行在计算机或网络节点上的反病毒软件。反病毒软件通常扫描文件或数据并搜索特征字符队列以识别已知的病毒。如果反病毒软件发现病毒感染的文件或数据,所述防病毒软件将清理或隔离被感染对象。静态清理的效力取决于计算机或其他通信设备用户使用反病毒软件有多好。
分组过滤是指网络节点扫描经由该节点或去往/来自该节点的被传送的数据分组。例如,网络地址转换(NAT)设备也可以完成分组过滤。如果数据分组看起来被感染了(也就是说,所述数据分组看起来包含与病毒相关的数据或是病毒发送的数据分组),那么通常将被怀疑的分组丢弃。分组过滤可以在节点内工作,由此过滤被传送和/或被接收的数据分组。分组过滤可以在网段的入口处实现。它可以阻止流量从该网段流出或进入该网段。分组过滤通常需要基于简单规则,由于对数据分组的非常详细的分析可能对流量造成很大的时延。在任何情况,分组过滤通常都会对所有流量造成一些时延。分组过滤对于核心网络通常不是实用的方案。然而,图2示出了放置在边缘路由器41a、41b和核心网40之间的分组过滤节点51a、51b的简化示意性示例。图2中的边缘路由器41a、41b被称为接入网络边缘路由器(ANER)。图2示出的场合与使用GPRS网络作为接入网络的两个通信设备11a、11b相关。例如,图2中的通信设备11a、11b可以是配备了卡式电话的个人电脑。
防火墙是指通常将网段从例如公共分组网络中隔离开的网络节点。防火墙通常使用分组过滤并且可能造成对所有流量的时延。在无线网络中,通常比固定网络中需要更多的重传和纠错。通常存在确定的时间限制,中数据分组应当在时间限制被成功传送。重传和纠错以及防火墙中的分组过滤造成的时延可能造成分组时延过大,以致于无法在无线网络中成功传送。因此,在防火墙中的基于规则的分组过滤可能成为对于无线网段的不可行方案。
因此存在有关病毒感染网络节点和/或有关病毒造成的流量的问题。此外,故障设备产生的无用流量可能造成问题。尤其在无线通信系统中,空中接口的传输容量损失可能为运营商带来问题。而且,在例如GPRS支持节点中的处理容量损失可能非常大。由于时延过长,分组可能被丢失。没有被病毒感染的通信设备的用户也间接受到传输容量损失和处理容量损失的影响。而且,由于使用无线通信资源的价格通常非常昂贵,病毒感染的通信设备的用户可能具有异常高的数据传输服务清单。同样很显然,病毒感染的数据分组增加了通信设备或网络节点被病毒感染的风险。
本发明目的在于解决至少某些上述讨论的问题。
发明内容
根据本发明的第一方面,提供一种在通信系统中限制流量的方法,所述方法包含监控流过第一网络节点的数据分组;判定源自源节点的至少一个第一数据分组是否满足预定准则;以及当所述预定准则被满足时,命令第二网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
根据本发明的第二方面,提供一种监控网络节点,其包含监控装置,其用于监控数据分组;判定装置,其基于所述监控装置进行的监控,判定源自源节点的至少一个第一数据分组是否满足预定准则;以及命令装置,其用于当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
根据本发明的第三方面,提供一种包含上文定义的监控网络节点和清理网络节点的设备,其中,所述监控网络节点被配置为命令其他网络节点将所述至少一个第二数据分组重路由到所述清理网络节点,而且所述清理网络节点包含用于从所述其他节点接收数据分组的装置,用于从数据分组中去除缺陷数据并且输出被清理了的数据分组的去除装置,以及用于将所述被清理了的数据分组向其目的地转发的转发装置。
根据本发明的第四方面,提供一种清理网络节点,其包含用于从其他节点接收数据分组的装置;用于从数据分组中去除缺陷数据并且输出被清理了的数据分组的去除装置;以及用于将所述被清理了的数据分组向其目的地转发的转发装置。
根据本发明的第五方面,提供一种包含第一网络节点的通信系统,所述通信系统包含监控装置,其用于监控流过第一网络节点的数据分组;判定装置,其基于所述监控装置进行的监控来判定源自源节点的至少一个第一数据分组是否满足预定准则;以及命令装置,其用于当所述预定准则被满足时,命令其他网络节点改变源自所述源节点的至少一个第二数据分组的处理。
根据本发明的第六方面,提供一种计算机程序,所述计算机程序包含这样的程序指令,当所述计算机程序被运行在包含至少一个数据处理器设备的数据处理系统上时,所述程序指令使得所述数据处理系统执行以下步骤监控流过第一网络节点的数据分组;判定源自源节点的至少一个第一数据分组是否满足预定准则;以及当所述预定准则被满足时,命令第二网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
根据本发明的第七方面,提供一种计算机程序,所述计算机程序包含这样的程序指令,当所述计算机程序被运行在包含至少一个数据处理器设备的数据处理系统上时,所述程序指令使得所述数据处理系统执行以下步骤从所接收的数据分组中去除缺陷数据并且输出被清理了的数据分组,以及将所述被清理了的数据分组向其目的地转发。
现将参考附图仅通过例子的形式描述本发明的实施例,其中图1示意性地示出了根据现有技术的通信系统的一个示例;图2示意性地示出了根现有技术的分组过滤;图3作为示例示意性地示出了图1的通信系统中的协议栈;图4示出了根据本发明实施例的方法的流程图;图5示出了根据本发明实施例的通信系统的设备和网络单元;图6示出了根据本发明其他实施例的方法的流程图;图7示出了根据本发明其他实施例的进一步的方法的流程图;图8作为示例示意性地示出了根据本发明其他实施例的通信系统;以及图9示意性地示出了作为进一步示例的根据本发明其他实施例的进一步的通信系统。
具体实施例方式
图1和图2在上文已经结合本发明的背景讨论过。
在本发明实施例的以下描述中,总是参考GRPS系统。然而,应理解本发明可以适用于支持分组交换数据服务的任何其他通信系统。所述通信系统的某些示例有通用移动电信系统(UMTS)和无线局域网(WLAN)。
本发明的一个特性是监控流过网络节点的数据分组。这里数据分组是指通常容纳一个或多个协议头部和某些净荷数据的协议数据单元。通常,所述净荷数据包含更高层协议的协议数据单元。图3示出了可以被用于支持分组数据服务的通信系统的协议示例。
作为示例,图3示意性地示出了某些图1所示网络单元中的协议栈并且标识出某些接口。在SGSN和BSS之间的接口被称为Gb。在SGSN协议栈320中和在朝向所述SGSN的BSS协议栈210中,下列协议是共同的。最底层的协议称为层1bis。第二层协议是网络服务(NS),而且第三层协议是基站系统GPRS协议(BSSGP)。在SGSN协议栈中的第四层是链路层控制层(LLC),而且所述协议实体对应的部分在MS协议栈110中。在BSS协议栈210中,在无线链路控制(RLC)协议和BSSGP协议之间中继数据。
如图3所示,朝向GGSN的SGSN协议栈230和GGSN协议栈240具有相同的协议层。最底层协议层是L1而其上是层L2。在层L2之上通常是互联网协议(IP)层,而IP层之上是用户数据报协议(UDP)或传输控制协议(TCP)。在SGSN协议栈230中朝向GGSN的最高协议层是GPRS隧道协议(GTP)。在SGSN协议栈230中,在GTP协议和BSSGP协议之间中继数据。在GGSN协议栈240中,在GTP层之上可能有例如IP层或X.25。所述IP或X.25层对应部分在MS协议栈110中。SGSN和GGSN之间的接口被称为Gn。
MS和BSS之间的接口称为Um。在MS协议栈110中和在朝向所述MS的BSS协议栈210中的下列协议是共同的最底层协议称为物理层(PHY),第二层为媒体接入控制(MAC)协议而且第三层称为RLC协议。在所述MS协议栈,还存在LLC协议。在LLC协议之上还有协议或应用。图3示出了子网相关汇聚协议(SNDCP)和其上的Internet协议(IP)或X.25协议。
通信设备中病毒或其他恶意软件的存在可以通过监控所述通信设备传送的数据分组来检测到。例如,某些病毒造成通信设备发送数据分组,所述数据分组的净荷中包含病毒特定的数据。某些病毒造成所述通信设备发送典型的数据分组序列。例如,端口扫描攻击包含指向一系列端口的一系列数据分组。作为进一步示例,乱序的数据分组序列可能表示病毒的存在,这是由于乱序的数据分组序列可能与拒绝服务攻击相关。
因此,病毒、其他恶意软件以及由于其他原因不正常工作的设备可以通过监控通信系统中的数据分组而被检测到。在某些情况下,分析数据分组的协议头部的已经足够,但是某些时候可能需要分析数据分组的净荷(数据分组的内容)。而且,可能需要多个数据分组的内容以判定数据分组是否与病毒、与其他恶意软件或与其他故障相关。
也有可能通过与特定通信设备相关的流量特征来判定病毒或其他恶意软件的存在。例如,病毒通常造成通信设备发送小型数据分组和/或大量数据分组。因此,可以针对数据分组的平均大小或每个单位时间内数据分组的平均数量定义预定限制。如果数据分组的平均大小小于预定限制,可以怀疑是恶意软件感染或其他故障。例如,在监控GPRS网络中发现平均用户数据分组大小约为330字节。另一方面,病毒发送的数据分组的平均大小约为50字节。类似的,如果单位时间内数据分组的平均数量大于预定限制,可以怀疑是病毒感染。在同样的GPRS网络研究中,非病毒感染的通信设备传送的分组的平均数量约为120分组/分钟。对于病毒感染的通信设备所述平均分组数量超过600分组/分钟。作为进一步示例,可以判定每个单位时间内小于预定大小的数据分组的数量。如果所述数量大于预定数量,可以怀疑病毒感染。
在本发明的实施例中,通信网络中的数据分组被监控。监控作为从被监控网络节点发送其他数据分组的并行处理被执行。监控数据分组不直接影响所述数据分组流过网络节点,而且因此监控不会造成数据分组的时延。例如,由于所有数据分组在被进一步传送之前被处理,分组过滤(如图2)通常对所有被处理的数据分组造成时延。而且,小数据分组和大数据分组通常需要类似的分组过滤处理容量。
图4示出了根据本发明实施例的方法400的流程图。在步骤401,监控流过第一网络(例如,图5中的网络节点501)节点的数据分组。所述监控可以是连续行为,或者可能设置用于开始监控的触发条件。例如,当所述网络(或特定的子网)中的负载超过预定阈值和/或单位时间内小数据分组的数量超过预定阈值时,可以执行监控。
监控通常在源节点的基础上执行,跟踪通过所述第一网络节点传送的每个源节点发送数据的分组。在步骤402,判定是否至少一个源自源节点的数据分组满足预定的准则,或者至少一个预定准测——如果已经定义了一组预定的准则。
所述预定的准则的某些示例如下数据分组内的特定净荷;数据分组的特定序列;乱序的数据分组序列;单位时间内的连接建立分组的数量;低于预定阈值的平均数据分组大小;或超过预定阈值的小数据分组(低于给定阈值的大小)的数量。对于本领域的技术人员,很显然所述准则可以被组合,从而使得需要满足至少一个准则以用于触发进一步的行动,或者需要满足至少特定数量的准则以用于发生触发。同样的,对于本领域的技术人员,很显然在某些情况下仅仅检测源自给定通信设备的一个数据分组就足够了。在其他情况下,可能有必要检测多个数据分组。
在步骤403,第二网络节点(例如,图5中的网络节点520)被命令改变源自源节点的至少一个其他数据分组的处理,其中与所述源节点相关的至少一个准则被满足。例如,所述第二网络节点可以被命令以改变源自所述源节点的数据分组的路由或者丢弃源自所述源节点的数据分组。如果判定源节点发生故障并且认为源自所述源节点的数据分组都不包含有用数据,那么将其他数据分组丢弃可能是可行的选择。另一方面,如果判定源节点可能被恶意软件感染,那么将源自所述源节点的数据分组重路由到特定清理节点可能是合适的选择。
数据分组的重路由或丢弃所发生的时期可能变化。例如,可以进行分组的重路由或丢弃,直到使源节点清理掉恶意软件感染或故障被修复。所述清理或修复可以由网络运营商或所述源节点的用户完成。如果所述清理/修复被网络(运营商)执行,那么作为所述清理/修复的响应,可以停止分组的重路由或丢弃。如果所述源节点的用户执行所述清理/修复,那么监控网络节点(或,更加一般地,网络中提供的监控功能)可以被通告所述清理/修复。作为进一步选择,所述监控网络节点可以通过监控从源节点产生的数据分组来注意到所述源节点的清理/修复。
图5作为例子示出了根据本发明实施例的通信系统的设备500和网络单元501、502。监控节点501负责监控流过第一网络节点501的数据分组,以判定源自源节点的数据分组是否满足至少一个预先确定的准则,并且当至少一个预定准则被满足时命令第二网络节点520。应理解,除了在分立的监控节点501中提供所述功能之外,监控节点501的所述功能可以被集成在例如第一网络节点510中。
清理节点502负责检查数据分组,并且如果可能则去除所述源节点产生的数据分组中的缺陷数据分组并且将经过清理的数据分组转发到它们的最初目的地。缺陷数据分组的去除是指丢弃缺陷数据分组和/或从数据分组的净荷中去除缺陷数据。在下文将结合与恶意软件相关的缺陷数据分组详细讨论清理节点的功能。
在本发明的某些实施例中,提供了包含监控节点501和清理节点502的设备500。上文描述的位于监控节点501的功能可以或者位于通信系统中的任何网络节点中,或者分布在通信系统中的多个网络节点中。通常监控节点501的功能以及被监控的网络节点501由相同的运营商操作。而且,清理节点502也可以由该相同的网络运营商操作。或者,监控节点501和(可能的)清理节点502的功能可以由第三方提供给网络运营商。
第二网络节点502可能与第一网络节点510由相同网络运营商操作。或者,第一网络节点510可以是例如由接入网运营商操作的边缘路由器或是GGSN,而且第二网络节点520可以是例如骨干网运营商运营的骨干路由器。
图6示出根据本发明的其他实施例的方法600的流程图。通过例子,所述进一步实施例与检测被恶意软件感染的源节点相关。在步骤601,检测流过第一网络接点的数据分组,与步骤401类似。第一网络节点可以是,例如,图1中的边缘路由器ER 41。或者,第一网络节点可以是GGSN。数据分组可以例如,源自通信设备11而且它们的目的地可以是通过公共数据网络40可达的通信设备。通常流过第一网络节点的所有数据分组都被检测。
在步骤602,基于步骤601的监控判决是否至少一个第一数据分组的源节点被恶意软件——例如病毒——感染。用于判定源节点被恶意软件感染的某些可能的准则在上文被提及。应理解,对于某些病毒(恶意软件),检测源自特定通信设备的仅仅一个数据分组可能就足够了。对于其他病毒(恶意软件),可能有必要检测多个数据分组。
在步骤603,检测源节点是否被判定为被恶意软件感染。如果被感染,则在步骤604发起对源自源节点的其他数据分组的重路由,所述发起通常通过命令第二网络节点重路由源自所述源节点的数据分组来进行。所述重路由造成源自所述源节点的其他数据分组被重路由到数据分组清理网络节点,其中可以从所述其他数据分组中去除被感染的数据。或者,如上文所述,在第二网络节点中丢弃被感染信源的其他数据分组。如果源节点没有被判定为被恶意软件感染,则在步骤605中保留所述源节点产生的数据分组的原始路由。通常保留原始路由不需要任何特定行为。另一方面,数据分组的重路由通常包含向其他网络节点(路由器)发送指令以更新路由信息。例如,可以更新流过第一网络单元的数据分组前往的下一路由器的路由信息。然后,在所述下一路由器中被更新的路由信息为源自所述源节点的数据分组规定新的路由。通常,有可能通过研究分组的头部字段来检测源自所述源节点的分组。通常,分组头部包含识别所述信源的信息。更新下一路由器中的路由信息的命令可以利用例如MIDCOM(中间件通信)协议或简单网络管理协议(SNMP)来发送。
当基于监控来重路由数据分组时,在检测到恶意软件感染之前,该恶意软件所感染的通信设备产生的某些数据分组可能流过正在进行监控的第一网络节点。在恶意软件感染的检测之后,其他数据分组被重路由以去除或丢弃被感染的数据。应理解,虽然包含被感染数据的某些数据分组可能被正常路由,但通信系统中数据分组的数量可以被有效减少。分组过滤可以也检测并丢弃真正第一个被感染的数据分组,但是分组过滤延迟了所有数据分组。在本发明实施例中,通常仅仅被重路由的数据分组被延迟。这意味着源自其他源节点并流过第一网络节点的数据分组没有因为一个源节点发生故障并且在某种情况下需要更加详细地处理来自所述源节点的分组,而被延迟。
基于对流过第一网络节点的数据分组的监控用于判定源节点中的恶意软件存在的恶意软件识别算法,可以考虑多种病毒识别特征,例如序列端口扫描分组或已知的端口攻击分组。端口攻击分组主要是用于会话建立的UDP分组。所述病毒识别算法可以随着新病毒的出现而更新。
可能被恶意软件感染的源自源节点的数据分组被重路由到网络节点或网段,其中可以从数据分组中去除被感染的数据。图7示出了根据本发明实施例的进一步的方法的流程图。在步骤701在网络单元中接收被重路由的数据分组。在步骤702,可以检测这些被重路由的数据分组是否被感染。如果没有,在步骤703被重路由的数据分组可以被转发到它们的目的地。通常通过将被重路由的数据分组发送到朝向原始目的地的下一网络节点并且得到原始路由信息来完成上述操作。如果被重路由的数据分组被感染,则在步骤704可以检查被重路由的数据分组是否可以被清理。如果可以清理,则在步骤705可以从数据分组(通常从净荷中)中去除被感染的数据。如何清理数据分组的细节通常根据病毒和数据分组的不同而不同。通常需要特定的清理算法,并且当新病毒出现时清理算法可以被更新。因此,在步骤703被清理的数据分组被发送到它们的原始目的地。如果不能清理,例如由于网络节点过载或被重路由的数据分组仅仅包含与恶意软件相关的信息而没有任何用户数据,则在步骤706可以丢弃被重路由的数据分组。
应理解,图4至7中的流程图做为示例被提供。步骤的顺序和步骤的数量可以变化。
图8作为示例,示意性示出根据本发明的其他实施例的通信系统800。通信系统800包含两个边缘路由器41a、41b和三个骨干路由器42a、42b、42c。此外,图8示出发送方通信设备11a和接收方通信设备11b。对于技术人员非常明显数据分组通常在发送方和接收方通信设备11a、11b之间的两个方向上传送,但是结合图8仅仅详细讨论传送数据分组的一个方向。发送方和接收方通信设备11a、11b可以被连接到边缘路由器,例如通过GPRS系统。
图8中的监控节点81称为反病毒监控服务器(AVMS)。它被配置用于监控流过边缘路由器41a的流量,尤其是流向核心网络(换句话说,在上行链路方向;源自通信设备11a的数据分组)。当检测到存在被病毒感染的源节点(通信设备)时,监控节点81命令骨干路由器中的一个更新它的路由信息从而使得源自相同通信设备的其他分组被重路由到数据分组清理节点83。图8中的第二节点82被称为反病毒服务服务器(AVSS)。数据分组清理节点82的功能例如在上文中结合图7一起所讨论的。
路由表被更新的骨干路由器通常是边缘路由器41a所连接的骨干路由器42a。来自AVSS节点82的被清理的数据分组被发送到其他路由器42b。由于其他路由器42b的路由信息通常没有被更新为重路由源自信源11a的数据分组,因此到达路由器42b的数据分组被发往原来的目的地。
应理解,监控网络节点81和数据分组清理网络节点82可以有效减少从边缘路由器41a到骨干路由器网络的恶意软件感染的流量。监控网络节点81和数据分组清理网络节点82也减少了例如在边缘路由器41b之后的网络(网段)中受恶意软件感染的流量。通过为边缘路由器41b和其他边缘路由器执行类似的流量监控和清理,可以减少流向边缘路由器41a的被恶意软件感染的流量。
应理解,监控节点81或数据分组清理网络节点82可以被配置为如果检测出通信设备11a被恶意软件感染,则通知通信设备11a。通过提供该反馈而且通信设备11a去除所述恶意软件,有可能减少在边缘路由器41a之后的网络(网段)中由恶意软件造成的流量。例如,可以通过短消息(SMS)、电子邮件或任何其他适合的消息传送手段,向通信设备11a通知恶意软件的出现(可能,被怀疑)。通过向所述通信设备通知可能的恶意软件,用户可以在与所述病毒使用的通信资源相关的费用巨大之前发现所述恶意软件。
应理解,类似推理适用于图5和通信系统中的一般缺陷流量的限制。在某些情况下,使监控网络节点命令第二网络节点(例如,路由器)简单地丢弃被判定源自故障(包括恶意软件感染的)源节点的数据分组,而非将数据分组重路由到清理节点,就已经足够了。
图9原理性示出了根据本发明实施例的进一步的通信系统900。在通信系统900中,监控节点81和数据分组清理节点82位于IP多媒体子系统(IMS)网络中。图9中的监控节点81和数据分组清理节点82有效地减少了从GGSN到核心网络90的被病毒感染的流量。而核心网络90通过其他边缘路由器被连接到公共数据网络,例如连接到互联网。
应理解,所述监控功能通常被安置为使得来自特定网络(网段)的数据分组能够被监控。如上所述,满足预定准则的判定、监控,以及命令功能可以被设置在分立的监控网络节点中。或者,所述功能可以被安置在例如被监控的数据分组流经的网络节点中。例如,边缘路由器可以配备所述功能。
在上文描述中,根据本发明的某些实施例的功能由两个网络节点提供——监控节点和数据分组清理节点。然而应理解,监控、检测缺陷数据分组以及清理被感染数据分组的功能可以通过大量网络节点提供。例如,数据分组可以被重路由到多个数据分组清理节点中的一个。清理节点的选择可以根据,例如,清理节点的负载或在所述源节点中的所检测出的恶意软件的类型。例如,可能定义一套不同的预定准则来有区分地处理不同缺陷情况。一个例子是,可以存在一套清理网络节点并且重路由目标的选择以所满足的准则为基础。
应理解,在所述描述中以及在附加的权利要求中,术语缺陷数据分组是指包含缺陷数据的数据分组,例如恶意软件感染的数据或浪费网络资源的无用数据分组。去除缺陷数据包括至少下列选择丢弃包含缺陷数据的数据分组或处理(清理)包含缺陷数据的数据分组从而使得从数据分组去除所述缺陷数据(例如,缺陷净荷部分)。
应理解,本发明的实施例可以作为硬件、软件或硬件和软件的适当结合来实现。
应理解,在附加的权利要求中,术语源节点意指涵盖任何网络节点或通信设备。术语通信设备在此是指能够通过通信系统进行通信的任何通信设备。通信设备的示例为用户设备、移动电话、移动基站、个人数字助理、便携电脑,等等。而且,通信设备不需要是人类用户直接使用的设备。
尽管使本发明的装置和方法具体化的有选实施例已经在附图中图示出了并在前述详细说明中描述了,但应理解,本发明并不局限于所公开的实施例,而是在不脱离所附权利要求所阐明的和所限定的本发明精神的情况下,能够进行多种重配置和修改。
权利要求
1.一种在通信系统中限制流量的方法,所述方法包含监控流过第一网络节点的数据分组;判定源自源节点的至少一个第一数据分组是否满足预定准则;以及当所述预定准则被满足时,命令第二网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
2.如权利要求1所述的方法,其中所述第二网络节点被命令将所述至少一个第二数据分组重路由到第三网络节点。
3.如权利要求2所述的方法,包含将所述至少一个第二数据分组重路由到所述第三网络节点。
4.如权利要求2或3所述的方法,包含在所述第三网络节点中从数据分组中去除缺陷数据。
5.如权利要求4所述的方法,包含在所述第三网络节点中清理缺陷数据分组。
6.如权利要求4或5所述的方法,包含在所述第三网络节点中丢弃缺陷数据分组。
7.如权利要求2至6中任一项所述的方法,包含从所述第三网络节点向目的节点发送数据分组。
8.如前述权利要求中任一项所述的方法,其中所述第二网络节点被命令为丢弃所述至少一个第二数据分组。
9.如前述权利要求中任一项所述的方法,包含在所述第二网络节点中丢弃所述至少一个第二数据分组。
10.如前述权利要求中任一项所述的方法,其中是否满足预定准则的所述判定至少以所述至少一个第一数据分组的监控为基础。
11.如前述权利要求中任一项所述的方法,其中所述预定准则考虑了每时间单位内源自所述源节点的多个数据分组中的至少一个、源自所述源节点的数据分组的大小、源自所述源节点的预定数据分组、源自所述源节点的乱序的数据分组序列、源自所述源节点的数据分组中的端口扫描序列,以及源自所述源节点的数据分组中的端口攻击序列。
12.一种监控网络节点,包含监控装置,其用于监控数据分组;判定装置,其基于所述监控装置进行的监控,判定源自源节点的至少一个第一数据分组是否满足预定准则;以及命令装置,其用于当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
13.一种设备,包含监控网络节点,其包含用于监控数据分组的监控装置、用于基于所述监控装置的监控来判定源自源节点的至少一个第一数据分组是否满足预定准则的判定装置,以及用于当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理的命令装置;以及清理网络节点,其中,所述监控网络节点被配置为命令所述其他网络节点将所述至少一个第二数据分组重路由到所述清理网络节点,并且所述清理网络节点包含用于从所述其他节点接收数据分组的装置,用于从数据分组中去除缺陷数据并且输出被清理了的数据分组的去除装置,以及用于将所述被清理了的数据分组向其目的地转发的转发装置。
14.一种清理网络节点,包含用于从其他节点接收数据分组的装置;用于从数据分组中去除缺陷数据并且输出被清理了的数据分组的去除装置;以及用于将所述被清理了的数据分组向其目的地转发的转发装置。
15.一种包含第一网络节点的通信系统,所述通信系统包含监控装置,其用于监控流过第一网络节点的数据分组;判定装置,其基于所述监控装置进行的监控来判定源自源节点的至少一个第一数据分组是否满足预定准则;以及命令装置,其用于当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
16.如权利要求15所述的通信系统,包含第二网络节点,其响应所述命令装置。
17.如权利要求16所述的通信系统,其中所述第二网络节点包含响应命令将所述至少一个第二数据分组重路由到第三网络节点的至少一个装置,以及响应所述命令而丢弃所述至少一个第二数据分组的装置。
18.如权利要求17所述的通信系统,包含第三网络节点,所述第三网络节点包含去除装置,其用于从数据分组中去除缺陷数据并且输出被清理了的数据分组,以及转发装置,其用于将所述被清理了的数据分组向其目的地转发。
19.如权利要求15到18中任一项所述的通信系统,其中所述监控装置、所述判定装置以及所述命令装置被设置在监控网络节点中。
20.如权利要求15所述的通信系统,其中所述监控装置、所述判定装置以及所述命令装置被设置在所述第一网络节点中。
21.一种实现在计算机可读介质中的计算机程序,所述计算机程序包含这样的程序指令,当所述计算机程序被运行在包含至少一个数据处理器设备的数据处理系统上时,所述程序指令使得所述数据处理系统执行以下步骤监控流过第一网络节点的数据分组;判定源自源节点的至少一个第一数据分组是否满足预定准则;以及当所述预定准则被满足时,命令第二网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
22.如权利要求21所述的计算机程序,其中所述计算机程序被实现在记录介质上或存储在数据处理系统的存储器中。
23.一种实现在计算机可读介质中的计算机程序,所述计算机程序包含这样的程序指令,当所述计算机程序被运行在包含至少一个数据处理器设备的数据处理系统上时,所述程序指令使得所述数据处理系统执行以下步骤从所接收的数据分组中去除缺陷数据并且输出被清理了的数据分组,以及将所述被清理了的数据分组向其目的地转发。
24.如权利要求23所述的计算机程序,其中所述计算机程序被实现在记录介质上或存储在数据处理系统的存储器中。
25.一种监控网络节点,被配置为监控数据分组;基于所述监控装置进行的监控来判定源自源节点的至少一个第一数据分组是否满足预定准则;并且当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
26.一种设备,包含监控网络节点和清理网络节点,所述监控网络节点被配置为监控数据分组,基于所述监控装置进行的监控判定源自源节点的至少一个第一数据分组是否满足预定准则;以及当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理,并且所述清理网络节点被配置为从所述其他节点接收数据分组,从数据分组中去除缺陷数据并输出被清理了的数据分组,以及将所述被清理了的数据分组向其目的地转发。
27.一种清理网络节点,被配置为从其他节点接收数据分组;从数据分组中去除缺陷数据并且输出被清理了的数据分组;并且将所述被清理了的数据分组向其目的地转发。
28.一种通信系统,包含第一网络节点,所述通信系统被配置为监控流过第一网络节点的数据分组;基于所述监控装置进行的监控来判定源自源节点的至少一个第一数据分组是否满足预定准则;并且当所述预定准则被满足时,命令其他网络节点改变对源自所述源节点的至少一个第二数据分组的处理。
全文摘要
在通信系统中限制流量是基于监控流过第一网络节点的数据分组并判定源自源节点的至少一个第一数据分组是否满足预定准则。当所述预定准则被满足时,第二网络节点被命令以改变对源自所述源节点的至少一个第二数据分组的处理。
文档编号H04L29/06GK101095114SQ200580045432
公开日2007年12月26日 申请日期2005年11月10日 优先权日2004年12月29日
发明者王浩, A·卡哈杜维 申请人:诺基亚公司